Cloud news

Czy umiesz reagować na naruszenie danych osobowych?

Rozporządzenie o ochronie danych osobowych (RODO) zobowiązuje do całościowego zarządzania sposobem uzyskania i wykorzystania danych osobowych i dostępu do nich, wprowadzając   m.in. konieczność współpracy pomiędzy administratorem danych a podmiotami przetwarzającymi dane w zakresie m.in. odpowiadania na zapytania podmiotów danych oraz reagowania a także zapobiegania naruszeń danych.

Dlaczego musisz działać już teraz?

Brak koordynacji i współpracy w zakresie naruszeń ochrony danych osobowych może prowadzić do nieodwracalnych skutków dla Twojego biznesu.

Czy jako administrator danych wiesz, kto przetwarza Twoje dane osobowe i czy podmioty przetwarzające dane korzystają z innych podmiotów przetwarzając danych lub z usług hostingu, rozwiązań chmurowych. Należy to sprawdzić i wprowadzić odpowiednie zobowiązania w umowach. Czy jako podmiot przetwarzający dane zawarłeś postanowienia dotyczące ochrony danych w umowach z podwykonawcami przetwarzającymi dane klientów.

Rozwiązaniem jest przygotowanie procedur wewnętrznych dostosowanych do danej organizacji i jej dzielności, wyznaczenie osób, oznaczenie adresu kontaktowego, zawarcie postanowień dotyczących danych osobowych w umowach oraz wdrożenie zasad bezpieczeństwa odpowiednich do zakresu, charakteru danych, świadczonych usług i celów przetwarzania, ryzyk naruszenia praw lub wolności osób fizycznych.

Badaj systemy, testuj, dokonuj oceny zastosowanych środków technicznych i organizacyjnych, prowadź dokumentację, a w przypadku pytań poszukaj doradcy i zadaj pytania.

 

  1. Naruszenie bezpieczeństwa a naruszenie ochrony danych osobowych

Naruszenie ochrony danych osobowych jest to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych, które są przesyłane, przechowywane lub przetwarzane.

Naruszenie bezpieczeństwa informacji/danych jest co do zasady definiowane szerzej niż samo naruszenie ochrony danych osobowych. W takiej sytuacji w procedurze wewnętrznej zgłaszania naruszeń trzeba oddzielić sytuacje naruszeń danych osobowych od różnego rodzaju innych naruszeń bezpieczeństwa fizycznych, organizacyjnych czy systemowych, które nie prowadzą do naruszenia danych osobowych.

Należy opracować instrukcję postępowania i kontaktowania się w celu przeanalizowania wewnętrznego czy zewnętrznego zgłoszenia naruszenia i identyfikacji, czy jest to tego rodzaju naruszenie, które należy raportować.

Ponadto obok zasad naruszenia bezpieczeństwa ochrony danych osobowych mamy także konieczność zgłaszania naruszenia zasad cyberbezpieczeństwa (ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa), czy też zgłaszanie naruszeń przez operatorów telekomunikacyjnych (Rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE o prywatności i łączności elektronicznej).

  1. Współpraca z podmiotami przetwarzającymi dane osobowe

Administrator danych ma 72 godziny na zgłoszenie naruszenia ochrony danych osobowych do organu nadzorczego. Jest to niewiele czasu biorąc pod uwagę często skalę naruszenia, konieczność jego analizy oraz współpracy z podmiotami przetwarzającymi w celu identyfikacji problemu. Jakość tej współpracy zależy także w dużej mierze od tego, jakie postanowienia znajdą się w umowie z podmiotem przetwarzającym nasze lub naszych klientów dane. Artykuł 28 ust. 3 lit f) jest bardzo ogólny i stanowi, że podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w m.in. w art. 33-34 RODO. Artykuł 33 oraz 34 RODO regulują sytuacje zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia o naruszeniu kierowane do podmiotu danych.

  1. Obowiązki podmiotu przetwarzającego dane

Stosowanie do art. 33 ust. 2 RODO podmiot przetwarzający dane po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi danych.

W zgłoszeniu takim podmiot przetwarzający dane powinien co najmniej wskazać:

(i)             charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

(ii)           imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub podać inną możliwość kontaktu do osoby, od której można uzyskać więcej informacji;

(iii)          możliwe konsekwencje naruszenia ochrony danych osobowych;

(iv)         środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Przetwarzający dane wraz z administratorem danych po dokonaniu analizy naruszenia bezpieczeństwa danych muszą uzgodnić i wdrożyć środki naprawcze odnośnie samego naruszenia ale także w celu zapobiegania powstania takich lub podobnych naruszeń w przyszłości. Strony zapewne podejmą także odpowiednie działania komunikacyjne.

 

Uwaga : Ważne jest iż informacji można udzielać sukcesywnie bez zbędnej zwłoki ale jedynie w zakresie, w jakim nie da się ich udzielić w tym samym czasie co pozostałych informacji

 

 

Powyżej wskazane informacje podmiot przetwarzający dane powinien umieć zidentyfikować, zebrać i przekazać w odpowiedniej formie do administratora danych i współpracować z nim w celu rozwiązania problemu, przygotowaniu zgłoszenia, wdrożeniu planu naprawy i zapobiegania kolejnym naruszeniom tego samego lub podobnego rodzaju.

Potrzebna jest do tego struktura zarządzania bezpieczeństwem danych oraz komunikacji i zgłoszeń, procedura oraz dedykowany adres (punkt kontaktowy) i osoby.

  1. Same konsekwencje naruszenia bezpieczeństwa danych mogą mieć kluczowy wpływ na dalszą działalność zarówno po stronie administratora jak i podmiotów przetwarzających dane.

RODO zdecydowanie wymaga całościowego myślenia o przetwarzaniu danych i wbudowania prywatności we wszystkie procesy w danej organizacji. I należy o tym pomyśleć i wdrożyć zanim nie będziemy mieli już innego wyboru, jak tylko w pośpiechu ratować się przed skutkami naruszenia danych osobowych.

  • Zgłoszenia naruszeń do organu nadzorczego (art. 33 RODO)

W sytuacji naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Jednakże nie ma konieczności zgłaszania naruszenia, gdy jest mało prawdopodobne, aby dane naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Administrator danych dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania obowiązków administratora danych określonych w RODO.

  • Zawiadomienie podmiotu danych o naruszeniu (art. 34 RODO)

W sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu (art. 33 RODO). Zawiadomienie to musi w prosty i zrozumiały sposób opisywać charakter naruszenia i wskazywać tożsame informacje, jak wskazane powyżej przy obowiązkach podmiotu przetwarzającego dane lit. (ii) – (iv).

Kiedy zawiadomienie  w trybie art. 34 ust. 1 (podmiotu danych) RODO nie jest jednak wymagane:

(i)                  gdy administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

(ii)                gdy administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;

(iii)               gdy wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

 

  • Konieczna  dokumentacja prowadzona przez administratora oraz podmiot przetwarzający dane

Zarówno administratora danych osobowych, jak i podmioty przetwarzające dane są zobowiązane do rejestrowania czynności przetwarzania danych zgodnie z art. 30 RODO. W rejestrze zawarte są informacje m.in. określające:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz inspektora ochrony danych,
  • cele przetwarzania,
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
  • przekazywanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
  • planowane terminy usunięcia poszczególnych kategorii danych,
  • opis technicznych i organizacyjnych środków bezpieczeństwa.

Każdy podmiot przetwarzający dane musi prowadzić rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, który to rejestr zawiera podobne do powyżej wskazanych w punktach (i), (v), (vii) informacje oraz kategorie przetwarzań dokonywanych w imieniu każdego z administratorów. Rejestry te mogą być prowadzone w formie elektronicznej.

Obowiązki wskazane powyżej dotyczące prowadzenia rejestrów nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych (dane wrażliwe) lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Podsumowanie

Zasadnym jest zainwestowanie niezbędnych środków w przeciwdziałanie naruszeniom i zbudowanie struktury reagowania na zgłoszenia oraz opracowanie, wdrożenie mechanizmów ochrony, przy których będzie mało prawdopodobne, aby dane naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Jest to rozwiązanie skuteczniejsze, niż konieczność ponoszenia dużo większych kosztów związanych z odpowiedzialnością względem:

(i)                 regulatora – kara administracyjna,

(ii)               administratora danych – odpowiedzialność umowna,

(iii)             podmiotu danych – odpowiedzialność cywilna  za naruszenie danych,

(iv)              ponoszenie ryzyka reputacyjnego,

(v)                wydatków prawnych, konsultingowych i naprawczych związanych z samym naruszeniem.

 

 

—–

 

Marlena Wach – Radca Prawny, doktor nauk prawnych

 

Doktor nauk prawnych, radca prawny, ekspert w zakresie danych osobowych, prawa telekomunikacyjnego, IT, nowych technologii, prawa autorskiego, mediów, infrastruktury, cloud computing, sztucznej inteligencji, Internetu rzeczy, big data, prawa konkurencji i konsumentów. Posiada wieloletnie doświadczenie w negocjowaniu umów, prawie zamówień publicznych, prawie unijnym oraz mediacji. Przez 7 lat pracowała doradzając w sektorze telekomunikacyjnym oraz regulacjach, a następnie była szefem praktyki technologii, mediów, telekomunikacji w międzynarodowych kancelariach DLA Piper oraz Bird & Bird, a także starszym prawnikiem w DZP i K&L Gates. Marlena przez 6 lat była wykładowcą, obecnie prowadzi szkolenia dla biznesu. Jest także autorem wielu publikacji biznesowych oraz naukowych. Zajmuje się także doradztwem w ramach programów funduszy unijnych oraz krajowych.